active directory基本知識

2021-04-17 16:51:40 字數 4024 閱讀 8507

active directory 是 windows 2000 作業系統的新內容,它在實施組織的網路、進而實現組織的商業目標中占有重要地位。 可以從三個方面來介紹activfe directory 1)儲存。 active directory,即 windows? 2000 server 目錄服務,可分層儲存網路物件的資訊,並向管理員、使用者和應用程式提供這些資訊。 2)結構。使用 active directory,可以根據結構組織網路及其物件,這些結構包括域、目錄樹、目錄林、信任關係、部門 (ou) 和站點。 3)相互通訊。active directory 以標準目錄訪問協議為基礎,因此能夠與其他目錄服務進行互動操作,並可接受遵守這些協議的第三方應用程式的訪問。 activfe directory的優點在於 1)與 dns 整合。 active directory 使用網域名稱系統 (dns)。dns 是一種 internet 標準服務,它將使用者能夠讀取的計算機名稱(例如 mycomputer.microsoft.com)翻譯成計算機能夠讀取的數字 internet 協議 (ip) 位址(由英文句號分隔的四組數字)。這樣,在 tcp/ip 網路計算機上執行的程序即可相互識別並進行連線。 2)靈活的查詢。 使用者和管理員如果要通過物件屬性快速查詢網路中的物件,可使用「開始」選單中的「查詢」命令、桌面上的「網路上的芳鄰」圖示或者是 active directory 使用者和計算機管理單元。例如,您可以按照乙個使用者帳戶的姓名、電子郵件名、辦公地點或其他屬性查詢該使用者。而且,使用全域性編錄優化了查詢資訊的操作。 3)可擴充套件性。 active directory 是可擴充套件的;也就是說,管理員既可以在架構中新增新的物件類別,也可在原有的物件類別中新增新屬性。架構包含每個物件類別的定義,以及能夠儲存於目錄中的 每個物件類別的屬性。例如,您可能會為 user 物件新增 purchase authority 屬性,然後將每個使用者的購買權限額儲存為使用者帳戶的一部分。 4)基於策略的管理。 組策略是在初始化時應用於計算機或使用者的配置設定。所有組策略設定都包含在應用於 active directory 站點、域或部門的組策略物件 (gpo) 中。gpo 設定決定了對目錄物件和域資源的訪問許可權、使用者可使用的域資源(如應用程式),以及這些域資源針對其用途的配置方式。 5)可伸縮性。 active directory 包括乙個或多個域,每個域均有乙個或多個域控制器,由此,您能夠對目錄進行自由擴充套件,從而滿足所有網路的需求。多個域可合併成乙個域目錄樹,多個域目錄樹 可合併成乙個目錄林。在只有乙個域的最簡單的網路結構中,該域既是乙個目錄樹,又是乙個目錄林。 6)資訊複製。 active directory 使用多主機複製,使您可以更新任何域控制器中的目錄。在乙個域中部署多個域控制器還提供了容錯能力和負載平衡功能。因為這些域控制器包含同樣的目錄資料, 所以,如果域內的乙個域控制器速度變慢、停止或出現故障,同一域內的其他域控制器即可提供必要的目錄訪問功能。 7)資訊保安。在 windows 2000 作業系統中,使用者身份驗證和訪問控制的管理都與 active directory 完全結合在一起,這是該系統的一項關鍵性安全功能。active directory 將身份驗證集中進行。不僅可以定義對目錄中每個物件的訪問控制,還可定義對每個物件的每個屬性的訪問控制。此外,active directory 還為安全策略提供了儲存區和應用範圍。8)互操作性。由於 active directory 以標準目錄訪問協議(例如輕型目錄訪問協議 (ldap))為基礎,因此它能夠與其他採用這些協議的目錄服務進行互動操作。有些應用程式程式設計介面 (api)--例如 active directory 服務介面 (adsi)--允許開發者訪問這些協議。

現在開始學習active directory,第一次寫技術性文章,套用一句歌詞的說法,偶的心怦怦怦直跳。

1.為什麼叫做活動目錄

剛剛接觸活動目錄這個名詞的時候,一下就被搞蒙了,不知道活動目錄和一般的windows目錄(資料夾)有什麼區別,它怎麼就是活動的了,通過一段時間的學習,搞清楚了這些。

資料夾僅代表乙個檔案存在磁碟上的位置和層次關係,乙個檔案生成之後相對來說這個檔案的所在目錄也就相對固定了,也就是說它的屬性也就相對固定 了,是靜態的。這個目錄所能代表的僅是這個目錄下所有檔案的存放位置和所有檔案總的大小,並不能得出其它有關資訊,這樣就影響到了整體使用目錄的效率,也 就是影響了系統的整體效率,使系統的整個管理變得複雜。

活動目錄之所以稱做「活動的」是因為它可以做到「由此及彼」的聯想、對映,如找到了乙個使用者名稱,就可聯想到它的賬號、出生資訊、e-mail、電 話等所有基本資訊,雖然組成這些資訊的檔案可能不在一塊。同時不同應用程式之間還可以對這些資訊進行共享,減少了系統開發資源的浪費,提高了系統資源的利 用效率。

活動目錄包括兩個方面:目錄和與目錄相關的服務。目錄是儲存各種物件的乙個物理上的容器,從靜態的角度來理解這活動目錄與我們以前所結識的「目 錄」和「資料夾」沒有本質區別,僅僅是乙個物件,是一實體;而目錄服務是使目錄中所有資訊和資源發揮作用的服務,活動目錄是乙個分布式的目錄服務,資訊可 以分散在多台不同的計算機上,保證使用者能夠快速訪問。

活動目錄主要用在分布式的環境中。在分布式環境中,要求有各種資訊可以被各種應用很方便地訪問讀取。活動目錄正式為分布式環境中的資訊提供一種 訪問途徑。它提供了乙個公共的區域來儲存分布式環境中的各種資訊,並且對這些資訊進行定位。從開發人員角度看活動目錄,可以理解活動目錄是一種存放了應用 程式所需要的特定資源資訊的「資料庫」。活動目錄還對這些資源資訊的讀取和查詢進行了優化。

2.活動目錄基本術語

2.1物件

活動目錄的資訊實體,可以使乙個使用者,一台印表機或者是乙個網路共享。物件包含描述它們的必選屬性和可選屬性。

2.2容器和非容器

活動目錄中的資源資訊被組織成乙個層次結構。這個層次結構中的每乙個實體都被簡稱為

物件。換句話說,活動目錄中建立物件時,是把它們建立在乙個層次結構中的。該結構由兩種型別的物件組成:container(

容器)和非container(

非容器)。

容器可容納

非容器或下一級的

容器。而

非容器則不再包含其他物件,因此也常被成為

葉或葉子物件。在安裝完活動目錄後,作業系統已經預設自動建立了很多的container,如users, builtin等。 

2.3adspath、dn、rdn

在活動目錄中層次結構的路徑被稱為

adspath,可用來唯一標誌乙個物件(另外唯一標誌物件的方法是使用guid)。

adspath常用的表示為:

ldap://dc=microsoft,dc=com。例如,有域被命名為mydomain.local,則它的

adspath表示為:

ldap://dc=mydomain,dc=local。 其中dc是domain component(域元件)的縮寫,它只用於表示域的根。dn是distinguished name(唯一標識)的縮寫,rdn是relative distinguished name(相對唯一標識)的縮寫。dn用來在乙個完整的目錄資訊樹中唯一表示乙個物件的名稱,而rdn是指在該物件的父容器中唯一表示它的名稱。下面看個 示例:在mydomain.local域中使用者容器中超級管理員帳號的adspath為:

ldap://cn=administrator,cn=users,dc=mydomain,dc=local,其dn為(注意沒有了

ldap:// 這個字首):cn=administrator,cn=users,dc=mydomain,dc=local,其rdn為(即在users容器中的名稱):cn=administrator。其中cn是common name(公用名稱)的縮寫.

3.安裝活動目錄

在server 2003點開始-》執行輸入dcpromo就可以進入安裝嚮導,解除安裝嚮導也是同樣的命令。

4.使用c#.net訪問活動目錄

1.新增directoryservices引用

2.example

using system;

using system.collections.generic;

using system.text;

using system.directoryservices;

namespace addemo

/t",obj.name);

console.writeline("path: " + obj.path);

}console.readkey();}}

}

提公升 Active Directory架構

1 安裝環境 在提公升架構之前,建議對各個非ad節點新增.net3.5功能,同時將機器按照之前規劃,修改相應的主機名,ip等,並在各個exchange節點安裝遠端伺服器管理工具 在命令列執行install windowsfeature rsat adds tools 一切準備就緒後,以域管理員身份登...

關於Active Directory資料收集

active directory 是用於 windows 2000 server 的目錄服務。它儲存著網路上各種物件的有關資訊,並使該資訊易於管理員和使用者查詢及使用。active directory 目錄服務使用結構化的資料儲存作為目錄資訊的邏輯層次結構的基礎。通過登入驗證以及目錄中物件的訪問控制...

Active Directory修理和恢復

active directory修理和恢復 windows2000的使用過程中,我們會遇到ad由於意外被損壞的 情況,那麼我們用什麼方法來恢復呢?下面我們就來討論active directory修理和恢復。一 使用ntdsutil來修理active directory 使用ntdsutil修復ad資...